Windows 10 a 11 nabízí moderní instalační systém pro aplikace a Microsoft ho koncem roku musel omezit, protože ho zneužíval malware. Řeč je o systému App Installer. K jeho přednostem patří to, že instalace aplikací je z uživatelského pohledu jednoduchá. Vždycky se objeví stejně vypadající systémový dialog s informacemi o softwaru a výrobci.
Navíc není nutné si stáhnout instalační soubor s příponou MSIX nebo APPX do počítače. Instalaci totiž můžete vyvolat z webu, přičemž komunikaci v tomto případě obstarává z uživatelského pohledu běžně neviditelný protokol ms-appinstaller
. Je to alternativa k instalaci aplikací z katalogu Microsoft Store.
Na papíře to vypadá hezky, ale tým Microsoft Threat Intelligence v půlce listopadu odhalil několik útoků na Windows. Malware je distribuovaný právě skrze MSIX, který se instaluje přímo z webu. Útočníci či útočnice samozřejmě potřebují, abyste instalaci vyvolali. Přesvědčit se vás snaží „starým dobrým“ phishingem.
Vypadá to jako instalace Zoomu, ale nejde o Zoom
Vytvořili totiž weby napodobující oficiální stránky známých programů jako Zoom, Tableau, TeamViewer nebo AnyDesk. Díky optimalizacím se dokázaly dostat na přední místa vyhledávačů jako Bing a Google. Tyhle dva Microsoft zmiňuje. Pokud si nevšimnete, že ve skutečnosti nejste na správném, nýbrž na podvrženém webu, pustíte se do instalace a netušíte, že do vašeho počítače míří malware.
Ne nutně přímo, protože stažený kód v instalačním balíčku obsahuje skripty. Ty stáhnou malware, který vás pak přímo poškodí. Microsoft zaznamenal činnost skupin Storm-0569, Storm-1113, Sangria Tempest nebo Storm-1674. Na počítače specificky distribuují ransomware, tj. snaží se finančně obohatit. Protokol ms-appinstaller
si jako vstupní bod zvolili zřejmě proto, aby snadno obešli bezpečnostní mechanismy ve Windows a v prohlížečích.
V reakci Redmondští v App Installeru 1.21.3421.0 vypnuli snadnou instalaci aplikací z webu, kterou zprostředkovával protokol ms-appinstaller
. To je teď jeho výchozí stav. Dále ve spolupráci s certifikačními autoritami zneplatnili malwarem zneužívané certifikáty. Vyšetřují také ochranu poskytovanou produkty Defender for Endpoint a Microsoft Defender for Office.
Takhle si můžete ověřit, jakou verzi App Installer máte
Instalaci aplikací z webu podporuje App Installer obsažený ve Windows 10 od verze 1709. Jestli se tento typ instalace vrátí, není jasné. Prozatím platí, že si instalační balíčky MSIX budete muset před instalací vždycky klasicky nejdříve stáhnout. Antivirus tak bude mít šanci odhalit případný škodlivý kód.
Verzi App Installeru si ověříte příkazem (Get-AppxPackage Microsoft.DesktopAppInstaller).Version
, který zadejte do PowerShellu. Nejlépe byste měli mít novější revizi než 1.21.3421.0. Zaktualizovat ho můžete manuálně, ale váš systém se o to nejspíš už sám postaral. V jednom případě byl útok veden přes Teams, kde vás zpráva odkázala na podvrženou stránku v Sharepointu. Microsoft upravil chování Teams tak, aby se při příchozí zprávě od externí entity zobrazil dialog při přijetí či zablokování.
Tenhle případ ilustruje, že je nutné míst se na pozoru a dvakrát zkontrolovat, z jakého webu chceme něco stáhnout a nainstalovat.
Zdroje: Microsoft Security Blog | MSRC Blog